ABD hükümetinin 2017’de Ukrayna’ya yönelik bir Rus siber saldırısının neden olduğunu söylediği NotPetya’nın sonuçları, siber sigortacılar kapsam muafiyetlerini değiştirerek “savaş eylemi” tanımını genişlettikçe hissedilmeye devam ediyor. Gerçekten de, 5 yaşındaki siber saldırı, siber sigorta pazarını alt üst ediyor gibi görünüyor.
Cadbury, Oreo, Ritz ve Triscuit gibi popüler markaların ana şirketi olan Mondelez International, fabrikaları ve üretimi kesintiye uğratan NotPetya’dan sert bir şekilde etkilendi. Şirket personelinin bilgisayar sistemlerinin kontrolünü yeniden kazanması günler aldı. Şirket, mülk ve kaza sigortacısı Zurich American’a 100 milyon dolarlık zarar için dava açtı. Başlangıçta talebin bir kısmını onayladıktan sonra — 10 milyon dolar — Zürih, saldırının bir savaş nedeni olduğunu ve bu nedenle haber kapsamı dışında tutulduğunu belirterek ödemeyi reddetti. Mondelez dava açtı dava.
Geçen ayın sonlarında Mondelez ve Zurich American’ın orijinal 100 milyon dolarlık iddiayı kabul ettikleri bildirildi, ancak bu, Merck’in 1.4 milyar doları kazanmasından sonra gerçekleşti. dava NotPetya ile ilgili zararları nedeniyle Ocak 2022’de Ace American Insurance Company’ye karşı. Merck’in iddiaları ayrıca bir siber sigorta poliçesine değil, mal ve zayiat poliçesine karşıydı.
2017’de siber sigorta poliçeleri henüz gelişme aşamasındaydı, bu nedenle birçok büyük şirket NotPetya ile ilgili tazminat talebinde bulundu. — dünya çapında tahmini 10 milyar dolarlık hasara neden olan bela — kurumsal mülkiyet ve zayiat politikalarına karşı.
Neler Değişti?
Forrester Research’ün kıdemli analisti Alla Valente, bu anlaşmaların öneminin siber sigorta pazarının süregelen olgunlaşmasını gösterdiğini söylüyor.
2020’ye ve COVID-19 salgınına kadar, siber sigorta poliçeleri, bir şirketin siber güvenlik profili, ağlarını ve verilerini savunmak için sahip olduğu araçlar veya genel durumu pek dikkate alınmaksızın geleneksel ev veya otomobil poliçelerine benzer bir şekilde satılıyordu. siber hijyen
Valente, birçok kuruluşun gösterdiği gevşek siber güvenlikten kaynaklanan çok sayıda fidye yazılımı saldırısı gerçekleştiğinde, sigorta şirketlerinin gereksinimlerini değiştirmeye ve bu tür poliçeleri elde etmek için gereksinimleri sıkılaştırmaya başladığını söylüyor.
Siber sigorta için iş modeli, diğer poliçelerden önemli ölçüde farklıdır ve 2017’nin siber sigorta poliçelerini geçersiz kılmaktadır. Siber sigorta, taşıyıcı pazarındaki ciro, kapsanan tekliflerde daha düşük limitler ve 2020’den önce yürürlükte olanlara kıyasla, istisnalar da dahil olmak üzere daha agresif şartlarla bir değişim halindedir.
Bir Savaş Yasası Tanımlamak
Savaş eylemleri yaygın bir sigorta istisnasıdır. Geleneksel olarak dışlamalar, bugün Ukrayna’da gördüğümüz gibi bir “sıcak savaş” gerektiriyordu. Ancak mahkemeler, savaş ilanı veya kara birlikleri veya uçaklar kullanılmadan siber saldırıları potansiyel savaş eylemleri olarak tanımaya başlıyor. Uçak gemileri, devlet destekli saldırının kendisinin bir savaş temeli oluşturduğunu iddia ediyor.
Nisan 2023’te, Lloyd’s of London’ın siber politikaları için devlet destekli siber saldırılardan kaynaklanan sorumluluk kayıplarını hariç tutan yeni laf kalabalığı yürürlüğe girecek. İçinde Piyasa Bülteni Ağustos 2022’de yayınlanan Lloyd’s sigorta direktörü Tony Chaudhry, “Lloyd’s, siber saldırı örtbasının yazılmasını güçlü bir şekilde desteklemeye devam ediyor, ancak aynı zamanda siberle ilgili işlerin gelişen bir risk olmaya devam ettiğini de kabul ediyor. Düzgün yönetilmezse, ifşa etme potansiyeli var. piyasayı sendikaların yönetmekte zorlanabileceği sistemik risklere.”
Lloyd’s yayınlamaya devam etti ek ek gereksinimler ve rehberlik 2016’da, NotPetya saldırısından hemen önce kurallarını değiştiren.
Etkili bir şekilde, Forrester’ın Valente, daha büyük işletmelerin, devlet destekli bir saldırıya uğramaları durumunda büyük nakit depoları ayırmak zorunda kalabileceklerini belirtiyor. Sigorta şirketlerinin mahkemede devlet destekli bir saldırının tanım gereği bir savaş eylemi olduğunu ileri sürmede başarılı olması durumunda, özellikle hariç tutmayı ortadan kaldırmak için bunu sözleşmede müzakere etmedikçe hiçbir şirket sigorta kapsamına sahip olmayacaktır.
Insurance Recovery’nin ortağı ve eş başkanı Scott Godes, siber sigorta satın alırken, “sözde” savaş istisnalarını “karşılaştırmak ve daha uygun koşullar sunan taşıyıcıların olup olmadığını belirlemek için komisyoncu ile ayrıntılı bir görüşme yapmaya değer” diyor. ve District of Columbia hukuk firması Barnes & Thornburg’daki Danışmanlık Uygulaması ve Veri Güvenliği ve Gizlilik uygulaması. “Ne yazık ki, bu konudaki dava, prim alarak, kapsamı kısıtlayarak ve belirsiz terimlerle mücadele ederek oyun alanını kendi lehlerine çevirmeye çalışan taşıyıcıların başka bir örneğidir.”
Valente, devlet destekli bir saldırıdan etkilenen küçük ve orta ölçekli işletmeler (KOBİ’ler) için “ışıklar sönebilir” diyor. Ayrıca, saldırganın istediği bilgilerle büyük bir kuruluşun birincil veya ikincil tedarikçileri olan KOBİ’lerin genellikle hedef alındığını vurguluyor. Bu, doğru sigorta kapsamına sahip olmayan küçük bir şirkete devlet destekli bir saldırının, yalnızca saldırganın bir siber suçlu değil, bir ulus devlet olması nedeniyle iflas edebileceği anlamına gelir.
Nelerin Kapsandığını Anlayın
Avrupa ve Kuzey Amerika siber sigorta pazarları benzer olsa da hiçbir şekilde aynı değildir.
“Hepsi değil [American] Poliçe, Londra sigorta piyasası tarafından tavsiye edilen bir dile sahip olacaktır ve bu kurallar Amerikan sigorta şirketleri için geçerli değildir.” Tanrılar diyor. “En iyi uygulama olarak, poliçe sahipleri, önerilen değişikliklerin yürürlüğe girmesinden sonra Londra piyasası sigorta taşıyıcılarının en sağlam kapsamı sunup sunmadığını düşünmelidir.”
Taşıyıcılar veya komisyoncular yerine sigortalıları temsil eden şirketi olan Godes, “Bu dava, poliçe sahiplerine, hasarlar gerçekten pahalı hale geldiğinde, taşıyıcıların sigorta kapsamıyla mücadele etmek için ellerinden gelen her şeyi yapacaklarına dair bir örnektir. Sigortalı, her zaman sigorta taşıyıcısının bir istisnanın geçerli olduğunu kanıtlaması gerekir. Ve bazen,” diye alay ediyor, “sigortalının satın aldığını düşündüğü teminatı almak için taşıyıcısıyla dava açması gerekecek.”
Merck ve Mondelez vakalarının yanı sıra Lloyd’un yakın tarihli duyurusunun sonucu: Devlet destekli saldırılar artık savaş nedeni hariç tutuluyor.
“Birçok taşıyıcı, devlet destekli veya destekli siber saldırıların gerçeklerini ele almak için savaş eylemi hariç tutmalarını yeniden yazma sürecindedir ve ayrıca, birkaç yeni kararda belirtildiği ve belki de Mondelez anlaşmasında ima edildiği gibi mahkemeler şüpheyle bakıyor. geleneksel silah ve mermi savaşı için yazılan hükümlerin siber saldırılara uygulanması” diyor Kenneth Rashbaum, New York hukuk firması Barton’un ortaklarından. “Bence bu, Mondelez’den ve son mahkeme kararlarından çıkarılacak en önemli çıkarım. Hükümlerini güncelleyen taşıyıcılar, devlet destekli olarak değerlendirilebilecek saldırıların kapsamının reddinde daha agresif olurken, maddeleri güncellemeyenler onlara güvenmeye daha az meyilli.”